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(57) Die voriiegende Erfindung beschretbt ein Ver- 
fahren zum Online-Update sicherheitskritischer Soft- 
ware in der EisenbahrvSignartechnik und dierrt 
insbesondere dem Einbringen von Produktsoftware in 
Zielrecrmer von Anlagen. Das erfindungsgemaBe Ver- 
fahren basiert darauf, daB jeder Teilnehmer einen 
offentBchen und einen geheimen SchlQssel erhalt, von 
den Teilnehmern eine Zertrfizierungsinstanz zur 
Beglaubigung der Zugehongkeit der SchlQssel zu den 
Teilnehmern mit einem Zertifikat bestimmt wird, jeder 
Teilnehmer sein eigenes Schlusselzertiffcat und das 
Zertifikat der Zertrfizierungsinstanz email, jeder an der 
ErsteJlung und Prufung der Produktsoftware beteiligte 
Teilnehmer die Produktsoftware und die bisherigen 
Unterschriften mit seinem geheimen SchlOssel urrter- 
schrefot und gememsarn mit seinem eigenen SchlQssef- 
zertifikatweiterleftet, dieZertifizierungsinstanz for jeden 
Anwertdungsfal) eine Pruferliste erzeugt und signiert 
und die Produktsoftware zusammen mit einer verkette- 
ten Unterschriftenliste und der Lisle der Schiusselzerti- 
fikate der Teilnehmer sowie der Pruferliste in den 
Zielrechner eingebracht und endgepruft wird. 
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Beschreibung 

[0001] Die vorliegende Erf inching betrifft ein Verfahren zum Online-Update sicherheitskritischer Software in der 
Eisenbahn-Signaltechnik und dierrt insbesondere dem Einbringen von Produktsoftware in Zietrechner von Anlagen. 
5 [0002] Neue Ecfitzeit-Betriebssysteme bieten weitreichende Debugging- oder Software-Upgrade-Optionen, wah- 
rend das eigenttiche System lauft (sog. running target), urn eine hohe VerfOgbarkett zu garantieren (sog. non-stop real- 
time systems). Im Prinzip sind diese Wartungsarbeiten auch online, z. B Obex das Internet oder ahnliche offene Nez- 
werke mogfich, ohne daB ein Techniker vor Ort ist. Dies ist vor all em in hochgratfig verteilten Systemen ein enormer 
Vorteil. 

io [0003] Diese Vorteile moderner Echtzeit-Betriebssysteme und Computer-Netze sind bislang fur sicherhertskriti- 
sche Anwendungen in der Eisenbahn-Signaltechnik nicht nutzbar, da nicht garantiert werden kann. daB die einge- 
brachte Produkt-Software authentisch ist, d. h. von dem behaupteten Absender stammt und nicht maniputiert wurde 
und die Produkt-Software nach den geltenden Vorschrrften gepruft ist. 

[0004] Unter dem Oberbegriff Produktsoftware wird hier sowoht Systemsoftware als auch Anwendersoftware oder 

is Anlagen-Projektierungsdaten verstanden. 

[0005] Bekannt ist die Produkt-Software nach Nfortiegen (manuell unterschriebener) Prufberichte uber vorab in der 
Fertigung programmierte Speicherbaugruppen von Hand in das sichemeitskrrtische System einzubringen. Dieser Pn> 
zeB soil mittels der beschriebenen Erf indung digitaGsiert werden, d. h. die Produkt-Software wird von den Prufern digital 
signiert und Ober ein offenes Netz in das sicherneitskritische System eingebracht. Der Zielrechner pruft die Signaturen 

20 automatisch auf Echtheit und Zulasstgkeit. 

[0006] Weiterhin sind aus der EP 0 816 970 A2 ein Verfahren und eine Vbnichtung bekannt, mit welch en die 
Authentizitat von Firmware gepruft werden kann. Es wird gepruft, ob spezif ische Signaturen zu Mikrokodierungen pas- 
sen. Nachteilig bei dieser Losung tst daB der dffentliche Schlussel in der Anlage test installiert ist und keine UberprO- 
fung der Prufberechtigungen erfdgt 

25 [0007] Urn die Authentizitat bei Ubertragung von Daten Ober offene Netze zu gewahrieisten, ist seit langerem die 
Verwendung von kryptographischen Method en bekannt. Hierbei ist sowohl eine symmetrische ats auch eine asymme- 
trische VerschlQssetung moglich. 

[0008] Bei der asymmetrischen Verschtusselung existiert im Gegensatz zur symmetrischen Verschlusselung nicht 
nur ein einzelner Schlussel, der alien Partnem bekannt ist. sortdern ein Schtusse(oaar. Dieses SchlQssetpaar besteht 
30 aus einem sogenannten offenttichen und ein em pnvaten SchlOssel, wobei der offentGche SchtOssel for jedermann 
zuganglich sein muB. 

[0009] Der Erf indung liegt die Aufgabe zugrunde, ein Verfahren zum Online-Update sicherheHskritischer Software 
in der Eisenbahn-Signaltechnik zu schaffen, welches mit einfachen Mitteln ein effektives Zusammenwirken mehrerer 
Teilnehmer bei der Erarbeitung und Prufung von Produktsoftware eowie ein sicheres Einbringen dieser Produktsoft- 
35 ware in die Zietrechner auch uber ungesicherte Kornmunikationskanale ermoglicht 

[0010] Diese Aufgabe wird erf indungsgemaB gelost durch die Merkmale im kennzeichnenden Teil des Anspruches 
1 im Zusammenwirken mit den Merkmalen im Oberbegriff. ZweckmaBige Ausgestaltungen der Erfindung sind in den 
Unteransprfichen enthatten. 

[001 1 ] Ein besonderer Vorteil der Erfindung besteht darin, daB eine sichere Erarbeitung, Obertragung und Einspei- 
40 sung der Produktsoftware in einen Zietrechner unter Mttwirkurtg mehrerer Teilnehmer ermoglicht wird, indem jeder Teil- 
nehmer einen Offenttichen und einen geheimen Schlussel erhalt von den Teilnehmem eine ZertHizierungsinstanz zur 
Beglaubigung der Zugehdrigkeit der Schlussel zu den Teflnehmern mit einem Zertrfikat bestimmt wird, jeder Teilnehmer 
sein eigenes Schlusselzertifikat und das Zertif ikat der Zertrf izierungsinstanz erhalt jeder an der ErsteDung und Prufung 
der Produktsoftware beteiligte Teilnehmer die Produktsoftware und die bisher geleisteten Unterschriften mit seinem 
45 geheimem Schlussel unterschreibt und gemeinsam rnrt seinem eigenen Schlusselzertifikat weherteitet, die Zertif izie- 
rungsinstanz fur jeden Arwertdungsfall eine PrOferliste erzeugt und signiert und die Produktsoftware zusammen mit 
einer verketteten Unterschriftenfiste und der Liste der Schlusselzertif ikate der Teilnehmer sowie der PrOferliste in den 
Zielrechner eingebracht und endgepruft wird. 

[0012] Ein weiterer Vorteil der Erfindung besteht darin, daB die Produktsoftware auch Ober ungesicherte Kbmmu- 

so nikationskanale ubertragen werden kann. 

[0013] GemaB der voriiegenden Erfindung werden asymmetrische VerschfOsselungsverfahren verwendet. Jeder 
Teilnehmer x verfugt uber zwei Schlussel, namiich einen offerrtlichen Schlussel P x und einen geheimen Schtussel S x . 
Der geheime Schlussel ist durch geeignete organisatorische MaBnahmen (zum Beispiel Passwort. Speicherung auf 
Chipkarte etc.) vor MiBbrauch gesichert. 

55 [0014] Offentliche Schlussel sind in der Regel jedem Teilnehmer zugangBch, auf einen geheimen Schlussel darf 
nur ein Teilnehmer Zugrrff haben. Mh seinem geheimen Schtussel kann der Teilnehmer Datensatze digital urtterschrei- 
ben (Operation Sigx) oder mit seinem Cffentlichen Schtussel verschlOssefte Datensdtze errtschtOsseln (Operation 
Decx). Jeder Teilnehmer, der im Besitz des zugehdrigen Cffentlichen Schtussets ist, kann von x signierte, fur ihn 
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bestimrrrte Datensatze verifizieren (Operation Ver^ oder x verschlussefte Nachrichten senden (Operation Encx) Das 
genaue asymmetrische Verfartren ist dabei ega), im Prinzip kann jedes aus dem Stand der Technik bekannte Verfahren 
verwendet werden, 

[0015] Die Erftndung soil nachstehend anhand von zumindest teilweise in den Figuren dargestellten AusfOhrungs- 
5 betspielen naher eriautert werden. 
[0016] Es zeigen: 

Fig. 1 eine schernatische Darsteltung des Zusammenwirfcens von Teflnehmern mrt einer Zulassungsbeh&rde; 

70 Fig. 2 einen Programrnablaulplan fOr die PrQfung der Produktsoftware 

[0017] Wie in Figur 1 dargestellt wind unter den Teitnehmern ein besorrders vertrauenswGrcBger Teilnehmer Z, die 
sogenanrrte Zertif iziemngsinstanz, bestimmt. Als Zertifizierungsinstanz wird im vorliegenden AusfQhrungsbetspiel eine 
ZulassungsbehOrde eingesetzt, in Deutschland fur die Eisenbaiin-Signaltechnik z.B. das Etsenbahnbundesamt Oder 

is eine andere vertrauenswOrdige Instanz. Dieser Teilnehmer zertif iziert. d. h. beglaubigt, daB die SchlOssel der einzelnen 
Teanehmer wirWich zu den behauplelen Teilnehmern gehoren. Dazu unterschreibt Z digital fur jeden Teilnehmer x des- 
sert offentiichen SchlOssel Px sowie ein Textfetd T x , das Angaben zur Identitat des Teilnehmers, zur GOttigkeitsdauer 
des Zertif flats etc. errthalt Das Zertif ikat besteht also fur jeden Teilnehmer aus P x . T x sowie Sig^Py, Tx). Die Zertif h 
zierungsinstanz ubergibt zusatzlich jedem Teilnehmer ihr eigenes Zertif ikat, das aus P z , T z sowie Sig^Pz* T z) besteht. 

20 [0018] Im weiteren wird nun ein konkreter Anwendurtgsfall betrachtet. 

[0019] Die Zulassungsbeh&rde Z erzeugt fOr jeden Anwendungsfatl eine PrOferliste L, in der vermerkt ist, welche 
Prufer welche Produktsoftware und in welcher Prufer-Zusammensetzung prufen durfen. Diese Liste wird ebenfalls von 
der ZulassungsbehOrde signiert und zusammen mitdem Zertif ikat Sig^L) auf gesichertem Weg in den Zielrechner der 
Anlage eingebracht, also entweder zusammen mrt der Produktsoftware oder als Projektierungsdatum. Zusatzlich sollte 

25 die PrOferliste auch an die beteiligten Prufer verteitt werden. Alternativ kann sie auch zusammen mrt der Produkt- Soft- 
ware ubertragen werden. 

[0020] Jeder an der ErsteHung und Prufung der Produktsoftware beteiligte Teilnehmer unterschreibt die Produkts- 
oftware S und die bisher geleisteten Unterschriften seiner Vorganger in der Prufhierarchie, d.h. der Ersteller E unter- 
schreibt die Produktsoftware 8 mit Sig E (S), und sendet sie mit der Urrterschrift und seinem Schlusselzertifikat Pe , T E 
30 sowie Sig^PE . t e) an den Prufer P, der die Echtheit der Urrterschrift prOft und nach positivem Prufergebnis die Pro- 
duktsoftware S und die letzte Urrterschrift Sig E (S) mit Sig P (S, Sig E (S)) unterschreirt und mit seinem Schlusselzertifikat 
P P , T P sowie Sigz(Pp , T P ) sowie dem Schlusselzertifikat von E weiterlertet Die Echtheit der Unterschriften wird durch 
jeden Prufer nach dem in Figur 2 angegebenen Schema geprutt 

[0021] Dieses Prinzip kann sich noch einige Male wiederholen wie in Figur 2 dargestellt je nachdem wieviele Teil- 
35 nehmer, d. rt Gutachter, Tester etc. betefligt sind. Am Ende liegt die Produktsoftware S zusammen mit einer verketteten 
Unterschriftenliste und der Liste der Schtusselzertifikate der Teilnehmer vor. Dies wird zusammen mit der PrOferliste in 
den Zielrechner ubertragen. 

Beispiel: Prufplan L=(A, B, C, D, ... K) 

40 

[0022] 



Produkt-SWS 



Sig A (S) 



Sig e (S, Stg A (S)) 



Sig^S. SigXS.SigKS,..))) 



[0023] In jedem sicheren Rechner der Anlage (Zielrechner) muB neben einer Implementation der kryptographi- 
schen Funktionen der OffentGche SchlOssel der ZulassungsbehOrde verfOgbar sein. Bei Empfang eines rteuen Soft- 
50 warestandes pruft der sichere Rechner die digital en Unterschriften der Prufer, die zu diesem Softwarestand gehdren. 
sowie bei erfolgreicher PrQfung die Berechtigimg der Prufer anhand der PrOferliste. 

[0024] Falls die Produktsoftware uber ungesicherte Komrramikationskanale ubertragen werden soil oder verhindert 
werden soil. daB unbefugte Drrtte Kenntnis der Produktsoftware erlangen, so muB die Produktsoftware zusatzlich ver- 
schlusseft werden, und zwar jeweils mrt dem Offentiichen SchlOssel des Kornmunikationspartners. 

55 

Beispiel: 

[0025] Sendet E an P, so wird statt der Produktsoftware S die verschlussefte Fassung Encp(S) gesendet P ent- 
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schliisselt diese mh seinem privaten Schlussel und verschlusseft sie mit dem offentlichen Schlussel des nachsten Kom- 
munikationspartners. In diesem Fall tst es auch notwendig, jedem Zielrechner ein SchJOsselpaar zuzuweisen, da im 
letzten Schritt mit dem Offentlichen Schlussel des Zietrechners zu verschl Ossein ist. 

[0026] Wettertiin sind organisatorische MaBnahmen notwendig, urn sicherzustellen, daB die geheimen Schlussel 
5 der Prufer bzw. Zertifizierongsinstanz nicht unberechttgt eingesetzt werden konnen (entweder mit PaBwort verschtus- 
selte Speicherung auf PC oder Chipkarte) und daB Software nicht auf ander em Wege, d. h. unter Umgehung der skiz- 
zierten SicherheitsmaBnahmen auf den Zielrechner gebracht werden kann (FirewaD-Funktionalrtat). 

PatentansprOche 

w 

1. Verfahren zum Ortline-Update sicherheitskritischer Software in der Eisertbahn-Signaftechnik unter Mrtwirkung 
mehrerer Teilnehmer und unter Nutzung kryptographischer Methoden und in digital isierter Form voriiegender ver- 
schlOssetter Datensatze, wobei 

is - jeder Teilnehmer einen Offentlichen und einen geheimen Schlussel erhaft, 

- von den Teilnehmem eine Zertifizierungsinstanz zur Beglaubigung der ZugehOrigkeit der Schlussel zu den 
Teilnehmem mit einem Zertif Beat besttmmt wind, 

- jeder Teilnehmer sein eigenes Schlusselzertitikat und das Zertrfikat der Zertifizierungsinstanz erhalt. 

- jeder an der ErsteJIung und PrOfung der Produktsoftware betettigte Teilnehmer die Produktsoftware und die 
20 bisherigen Unterschriften mit seinem geheimen Schlussel unterschreibt und gemeinsam mit seinem eigenen 

SchlQsselzertrf ikat wertertertet, 

- die Zertffizierungsinstanz fur jeden Anwendungsfall eine Pruferliste erzeugt und signiert und 

die Produktsoftware zusammen mit etner verketteten Unterschriftenliste und der Liste der SchUsselzertrfikate 
der Teilnehmer sowie der Pruferliste in den Zielrechner eingebracht und endgepruft wind. 

25 

2. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

da8 die geheimen Schlussel der Teilnehmer zum digitalen Unterschreiben von Datensatzen und bei Obertragung 
der Produktsoftware uber ungesicherte Kbmmunikationskanale zum Entschlusseln verwendet werden. 

30 

3. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB die Offentlichen Schlussel der Teilnehmer zum Entschlusseln verschlusselter Datensatze oder zum Verrf izieren 
signierter Datensatze und bei Obertragung der Produktsoftware Ober ungesicherte Kbmmunikationskanale zum 
35 Verschtusseln mit dem Offentlichen Schlussel des nachsten Kommunikationspartners verwendet werden. 

4. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB die Zertifizierungsinstanz zur Erstellung der Zertrfikate fur jeden Teilnehmer dessen Offentlichen Schlussel 
40 sowie ein Textfeld mit Angaben zur Wentitat und GOltigkeitsdauer des Zertif ikates unterschreibt. 

5. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB in der Pruferliste vermerkt ist welcher Teilnehmer welche Produktsoftware und in welcher Zusammensetzung 
45 mit anderen Teilnehmem prDfen darf. 

6. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB im Zielrechner neben einer Implementation der kryptographischen Funktionen der Offentliche SchlOssel der 
so Zertifizierungsinstanz verfugbar ist. 

7. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB der Zielrechner bei der Endprufung cfie digitalen Unterschriften der Teilnehmer sowie die Berechtigung der 
65 Teilnehmer anhand der Pruferliste prOft 

8. Verfahren nach einem der Anspruch e 1 bis 3, 
dadurch gekennzeichnet 
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da6 bei Ubertragung der Produktsottware uber urtgestcherte Kommunikationswege jedem Zietrechner ein Schtus- 
setpaar zugewiesen wind. 
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Schritt 0: Z autorisiert (fie Teilnefmr 



3) Zulassungsbehorde Z 
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Zerttfikot durch Unterschrift 
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Furjede Unterschrift 
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